21.05.19
aggiornato il 05.12.23
Mario Steinberg
0 commenti
Indice dei contenuti
Modifica della legge sulla privacy nell'UE

Regolamento E-Privacy: cosa ti aspetta?

Sebbene l'adozione del "Regolamento sulla privacy e sulle comunicazioni elettroniche" (Regolamento ePrivacy) non sia prevista prima della fine del 2020, sta già proiettando la sua ombra. In questo articolo, vorrei fornirti una panoramica su cosa riguarda il Regolamento ePrivacy, su come si presenta l'attuale situazione legale per l'uso degli strumenti di tracciamento e su come potrebbe cambiare con l'EPVO. Infine, ti spiegherò brevemente perché ritengo che il nuovo regolamento sia importante. Ma non farti prendere dal panico: Così come, contrariamente a tutte le previsioni, il mondo non è finito con l'entrata in vigore del GDPR il 25 maggio 2018, lo stesso non si può prevedere per la validità del Regolamento ePrivacy.

I. Il Regolamento ePrivacy

1 Cos'è il Regolamento ePrivacy?

Il Regolamento ePrivacy (EPR) è una bozza di regolamento attualmente in discussione a livello europeo da parte della Commissione Europea, che intende sostituire la Direttiva ePrivacy(Direttiva 2002/58/CE, modificata da ultimo dalla Direttiva 2009/136/CE; Direttiva ePrivacy), in vigore dal 2002, e adattarla all'attuale stato dell'arte (ad esempio, i cosiddetti servizi over-the-top, cioè i servizi di comunicazione basati su IP, non sono attualmente coperti dalla Direttiva ePrivacy).

In quanto regolamento europeo, il GDPR si applicherà direttamente e immediatamente in tutta l'Unione Europea. A differenza della Direttiva ePrivacy, non dipenderà dal recepimento nel diritto nazionale da parte dei singoli Stati membri. Per inciso, la trasposizione della Direttiva ePrivacy nella legislazione nazionale non è mai avvenuta in Germania per quanto riguarda la parte della protezione dei dati che riguarda gli operatori di siti web.

2. Qual è l'obiettivo del Regolamento ePrivacy?

Il Regolamento ePrivacy mira a proteggere la riservatezza delle comunicazioni, nonché la riservatezza e l'integrità dei dispositivi finali degli utenti.

In parole povere, gli utenti dovrebbero essere protetti dall'essere spiati a loro insaputa quando visitano un sito web o utilizzano un servizio di posta elettronica o di messaggistica.

A differenza del GDPR, sono tutelate non solo le persone fisiche (gli esseri umani) ma anche le persone giuridiche (aziende e associazioni). Il Regolamento ePrivacy specifica e integra il GDPR per quanto riguarda i dati di comunicazione elettronica, che sono dati personali.

3. Cosa disciplina il Regolamento ePrivacy?

Il Regolamento ePrivacy regolamenta non solo la comunicazione attraverso la telefonia vocale (tradizionale), i messaggi di testo (SMS) e le e-mail, ma anche la comunicazione attraverso la telefonia VoIP, i servizi di messaggeria e i servizi di e-mail basati sul web. Si applica anche alla comunicazione da macchina a macchina, che sta diventando sempre più importante (parola chiave "Internet delle cose").

L'EPVO presta particolare attenzione al modo in cui le informazioni vengono memorizzate o inviate, richieste o elaborate dai dispositivi finali degli utenti (ad esempio PC e smartphone). Questo perché i dati personali sensibili sono praticamente sempre memorizzati su questi dispositivi finali (ad esempio e-mail e messaggi, immagini, dati di contatto e di localizzazione). Gli utenti dei dispositivi finali devono quindi essere protetti dall'utilizzo di strumenti di tracciamento per monitorare segretamente le loro attività a loro insaputa (ad esempio cookie, impronte digitali del browser e tecnologie simili per tracciare il comportamento degli utenti).

4 Quando arriverà il Regolamento ePrivacy?

L'intenzione originaria era che il Regolamento ePrivacy entrasse in vigore contemporaneamente al GDPR. La Commissione europea aveva già pubblicato la bozza del Regolamento ePrivacy all'inizio di gennaio 2017. Tuttavia, poiché anche il Parlamento europeo e il Consiglio dell'Unione europea devono essere coinvolti nel processo legislativo, numerose disposizioni del Regolamento ePrivacy sono attualmente ancora oggetto di discussione politica. A causa della complessità del processo legislativo, è improbabile che il Regolamento ePrivacy entri in vigore nel 2019. Inoltre, è probabile che ci sia un periodo di transizione, simile a quello del GDPR, fino all'effettiva entrata in vigore del Regolamento ePrivacy.

II Situazione legale per l'utilizzo degli strumenti di tracciamento

1. Cosa sono gli strumenti di tracciamento?

Gli strumenti di tracciamento hanno lo scopo di rendere comprensibile il comportamento degli utenti di Internet: Quanto spesso un sito web viene visitato da un utente specifico o un servizio di messaggeria utilizzato (se il comportamento di un utente specifico viene "analizzato", non è più un puro strumento di analisi e statistica, ma uno strumento di monitoraggio)? Qual è il contenuto dei messaggi inviati? Quali articoli vengono cercati e ordinati in un negozio web? A quali account di social media sono collegate le persone? Un articolo collegato viene cliccato e comprato (marketing di affiliazione)?

I dati non vengono raccolti solo quando si visita il sito web o si utilizza il servizio, ma spesso anche molto tempo dopo. Questo perché i cookie, i pixel di conteggio, ecc. impostati sul dispositivo finale di solito non vengono cancellati quando il servizio viene terminato. Spesso rimangono sul dispositivo dell'utente per diversi mesi e continuano a inviare dati senza che l'utente se ne accorga.

In molti casi, i dati raccolti in questo modo non sono solo raccolti ed elaborati dal fornitore di servizi stesso, ma spesso sono anche trasmessi a terzi.

Di conseguenza, un gran numero di profili utente vengono creati senza che l'utente ne sia consapevole.

2. Dove è attualmente regolamentato l'uso degli strumenti di tracciamento?

Nota preliminare: questa parte è necessariamente formulata un po' legalmente. Se non sei interessati a queste sottigliezze, potete continuare a leggere al 3. senza problemi.

In Germania, i requisiti per i servizi elettronici di informazione e comunicazione sono regolati dalla Legge sui Telemedia (TMG). Il Telemedia Act è entrato in vigore nel 2007 ed è stato modificato da ultimo nel settembre 2017. Tuttavia, la Direttiva ePrivacy, che è stata emendata nel 2009 e regolamenta l'archiviazione e l'accesso alle informazioni memorizzate sul dispositivo terminale dell'utente all'art. 5 comma 3, non è stata formalmente recepita nel diritto tedesco. Il governo federale non lo ha ritenuto necessario a causa delle norme già contenute nella Sezione 15 (3) del TMG. Anche le disposizioni sulla protezione dei dati della Legge sui Telemedia (Sezione 4; Sezioni 11 e seguenti del TMG), che regolano gli obblighi dei fornitori di servizi, non sono state adeguate al GDPR.

La conseguenza è che la regola del conflitto di cui all'art. 95 del GDPR, che regola il rapporto tra il GDPR e la Direttiva ePrivacy, non è applicabile. Poiché anche l'applicazione diretta della Direttiva ePrivacy è fuori questione (a differenza dei regolamenti europei, le direttive europee non si applicano direttamente e immediatamente), il GDPR continua ad avere la precedenza.

Ciò significa che dalla validità di RGPD, ossia dal 25 maggio 2018, la base giuridica per il trattamento dei dati personali da parte dei fornitori di servizi è esclusivamente l'articolo 6 (1) RGPD ; le corrispondenti disposizioni della legge sui telemedia non sono più applicabili da allora.

Questo dovrebbe cambiare solo con l'entrata in vigore del regolamento ePrivacy: Allo stato attuale, i regolamenti dell'EPVO avranno la precedenza sui regolamenti corrispondenti di RGPD , a condizione che perseguano lo stesso obiettivo.

"*" indica i campi obbligatori

Desidero iscrivermi alla newsletter per essere informato sui nuovi articoli del blog, sugli ebook, sulle funzionalità e sulle novità di WordPress. Posso ritirare il mio consenso in qualsiasi momento. Si prega di prendere nota della nostra Politica sulla Privacy.
Questo campo è per la convalida e non deve essere modificato.

3. qual è la situazione legale attuale per l'utilizzo degli strumenti di tracciamento?

L'attuale base giuridica per l'uso di strumenti di tracciamento è l'art. 6 (1) RGPD. Questo significa che gli strumenti di tracciamento possono generalmente essere utilizzati solo se

  • il trattamento è necessario ai fini dei legittimi interessi perseguiti dal titolare del trattamento o da un terzo, salvo che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore (lettera f) del primo comma dell'articolo 6, paragrafo 1, del GDPR)

o

  • l'interessato ha dato il proprio consenso al trattamento dei suoi dati personali per una o più finalità specifiche (punto (a) del primo comma dell'articolo 6(1) GDPR).

>> Dettagli degli interessi legittimi del fornitore di servizi

Se un fornitore di servizi ha interessi legittimi prevalenti nell'utilizzo di strumenti di tracciamento, non è necessario il consenso dell'utente.

In un sito web, ad esempio, una casella di controllo sarebbe superflua. L'operatore del sito web dovrebbe solo informare sugli strumenti di tracciamento utilizzati nell'informativa sulla privacy.

Gli interessi legittimi del fornitore di servizi possono essere effettivi, economici e non materiali.

Spesso, ovviamente, si tratta di interessi commerciali. Questi possono consistere, ad esempio, nel salvataggio del carrello della spesa del cliente in un negozio online o nell'integrazione di font web, servizi di mappe e plugin di social media in un sito web. Tuttavia, anche gli strumenti di analisi e statistica dei visitatori di un sito web o l'utilizzo di tracker pubblicitari sono considerati interessi legittimi.

Se il trattamento dei dati in questione è necessario per salvaguardare tali interessi legittimi, questi devono essere ponderati con gli interessi o i diritti e le libertà fondamentali dell'utente. Questi includono la protezione da svantaggi economici, il diritto al rispetto della vita privata e della comunicazione ai sensi dell'art. 7 della Carta dei Diritti Fondamentali dell'Unione Europea (CFR), il diritto fondamentale alla protezione dei dati ai sensi dell'art. 8 CFR e il diritto all'autodeterminazione informativa.

Nella ponderazione dei rispettivi interessi, sono particolarmente importanti gli effetti del trattamento dei dati previsto e la sua suscettibilità all'uso improprio. Inoltre, si deve tenere conto delle ragionevoli aspettative dell'utente nei confronti del servizio e del fatto che l'utente possa ragionevolmente prevedere che il trattamento dei dati previsto possa avvenire.

A volte è difficile decidere se prevalgono gli interessi legittimi del fornitore del servizio (o di una terza parte) o gli interessi dell'utente nei singoli casi.

Va notato che il fornitore di servizi deve dimostrare che i tuoi interessi legittimi prevalgono. Se questa prova non può essere fornita in caso di controversia, la raccolta dei dati era illegale e il fornitore di servizi deve aspettarsi una multa.

Il bilanciamento degli interessi deve quindi essere comprensibile per le autorità di vigilanza e ben documentato.

>> Dettagli del consenso dell'utente

Se il fornitore di servizi non può basare l'integrazione di uno strumento di tracciamento su un interesse legittimo, il consenso dell'utente è obbligatorio.

Le condizioni per un consenso effettivo sono stabilite nell'art. 7 RGPD . Questi sono:

  • Forma comprensibile;
  • un linguaggio chiaro e semplice;
  • Distinzione da altri fatti;
  • riferimento al diritto di recesso in qualsiasi momento;
  • rispetto al divieto di abbinamento (cioè che un servizio non deve essere subordinato alla concessione del consenso al trattamento di dati personali che non sono collegati al servizio).

Il consenso può anche essere dato implicitamente, cioè tramite un'azione conclusiva. Tuttavia, il consenso esplicito è sempre richiesto quando vengono trattate categorie speciali di dati personali (cfr. art. 9(2)(a) RGPD).

Va anche notato che il consenso può essere ritirato in qualsiasi momento. Pertanto, il trattamento dei dati deve cessare dal momento in cui l'interessato ha ritirato il tuo consenso.

Attualmente, il consenso per l'impostazione di cookie e tecnologie simili sui siti web è solitamente ottenuto per mezzo di una cosiddetta "casella di controllo", dove l'utente deve spuntare attivamente una casella (opt-in).

A meno che non vengano impostati solo cookie tecnicamente necessari, non è sufficiente un breve avviso in un cosiddetto "banner dei cookie", che viene poi semplicemente confermato cliccando su un pulsante "OK".

In ogni caso, gli utenti devono essere informati sugli strumenti di tracciamento utilizzati nell'informativa sulla privacy.

4. qual è la probabile situazione legale per l'utilizzo degli strumenti di tracciamento?

La bozza di Regolamento ePrivacy pubblicata dalla Commissione Europea all'inizio di gennaio 2017 è attualmente ancora in fase di discussione politica. Tra le altre cose, ci sono pareri del Comitato europeo per la protezione dei dati e del Garante europeo per la protezione dei dati, emendamenti del Parlamento europeo e documenti di discussione del Consiglio dell'Unione europea.

Non è quindi chiaro quale sarà la formulazione esatta del regolamento e-privacy.

Tuttavia, alla luce dei continui "scandali dei dati" degli ultimi tempi, i protezionisti dei dati in particolare stanno facendo sempre più pressione affinché l'EPVO non sia inferiore all'attuale livello di protezione fornito dalla direttiva e-Privacy e da RGPD .

In un documento pubblicato su Mai 2018, l'European Data Protection Board ha sostenuto che la riservatezza delle comunicazioni elettroniche richiede una protezione speciale che deve andare oltre il GDPR. Pertanto, i legittimi interessi del fornitore di servizi non dovrebbero più essere una base giuridica per il trattamento dei contenuti e dei metadati delle comunicazioni elettroniche in futuro.

Se questo punto di vista dovesse prevalere, gli strumenti di tracciamento potranno essere utilizzati solo previo consenso dell'utente (ad esempio tramite una casella di controllo).

III Perché il Regolamento ePrivacy è una buona cosa

Contrariamente a tutte le profezie di sventura, l'EPVO è un regolamento sensato e atteso da tempo. Dopo tutto, il monitoraggio completo del comportamento dei nostri utenti, che ora è tecnicamente possibile, non dovrebbe essere semplicemente accettato.

È quindi una buona cosa se i gestori di siti web e i fornitori di servizi devono fornire informazioni chiare e trasparenti in anticipo su quali dati vengono raccolti quando si visita un sito web o si utilizza un servizio e a chi vengono trasmessi e per quali scopi. Solo in questo modo i visitatori e gli utenti del sito possono decidere se vale davvero la pena divulgare i loro dati visitando il sito o utilizzando il servizio.

Tuttavia, come gestore di un sito web, non devi nascondere la testa sotto la sabbia. Come misura immediata, è meglio verificare se puoi basare tutti i servizi integrati nel tuo sito web su un interesse legittimo o sul consenso dell'utente. In caso contrario, dovrai ottenere il consenso dell'utente mancante. Inoltre, dovresti soprattutto presentare le tue attività di tracciamento in modo trasparente nella tua informativa sulla privacy.

Non appena sarà noto il testo definitivo del Regolamento ePrivacy, dovrai verificare in particolare se e, in caso affermativo, da quando dovrai ottenere un consenso aggiuntivo. Vale la pena di rimanere aggiornati sul Regolamento ePrivacy in modo da poter implementare questo e tutti gli altri requisiti in tutta tranquillità.

Featured image: Scott Webb [Pexels]

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!

Mario Steinberg

Mario Steinberg è un avvocato e specialista in diritto amministrativo presso lo studio legale commerciale LIEB.Rechtsanwälte. Il tuo lavoro si concentra sul diritto della privacy, sulla sicurezza informatica e sul diritto informatico.

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.